2017-0142: Mozilla Firefox, Firefox ESR, Thunderbird, Tor Browser, SeaMonkey: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-01-25 16:10)

Neues Advisory

Version 2 (2017-01-26 12:09)

Für Oracle Linux 5 (i386, x86_64), Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) sowie für die stabile Distribution Debian Jessie stehen jetzt ebenfalls Sicherheitsupdates für Firefox ESR auf Version 45.7.0 bereit.

Version 3 (2017-01-27 11:35)

Die Mozilla Foundation stellt Thunderbird 45.7 als Sicherheitsupdate zur Verfügung, um die für den Browser Firefox in der ESR Version 45.7 adressierten Schwachstellen zu beheben.

Version 4 (2017-01-30 10:23)

Für Fedora 24 steht Mozilla Firefox in der Version 51.0.1 im Status 'stable' bereit, mit der zwei durch die Version 51.0 eingeführte Regressionen zusätzlich behoben werden. Eine Regression betrifft ausschließlich Windows-Betriebssysteme und verursacht, dass die Geolocation API nicht mehr ordnungsgemäß funktioniert. Die andere Regression betrifft sämtliche Betriebssysteme und bewirkt in Multiprozess-Umgebungen Kompatibilitätsprobleme mit einige Erweiterungen (Add-Ons). Canonical stellt für die Distributionen Ubuntu 16.10, Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS Sicherheitsupdates auf die Firefox Version 51.0.1 und die Thunderbird Version 45.7.0 zur Verfügung. Da von Canonical zuletzt ein Sicherheitsupdate auf die Thunderbird Version 45.5 veröffentlicht wurde, werden im jetzigen Update auch alle Schwachstellen, die über die Version 45.6 behoben wurden, referenziert.

Version 5 (2017-02-02 12:22)

Für Red Hat Enterprise Linux 5, 6 und 7 sowie SUSE Package Hub for SUSE Linux Enterprise 12, openSUSE Leap 42.1 und openSUSE Leap 42.2 stehen Sicherheitsupdates für Thunderbird auf 45.7.0 bereit, um die Schwachstellen CVE-2017-5373, CVE-2017-5375, CVE-2017-5376, CVE-2017-5378, CVE-2017-5380, CVE-2017-5383, CVE-2017-5386, CVE-2017-5390 und CVE-2017-5396 zu beheben. Für openSUSE Leap 42.1 und openSUSE Leap 42.2 stehen außerdem Sicherheitsupdates für Mozilla Firefox auf Version 51.0.1 zur Verfügung.

Version 6 (2017-02-03 10:35)

Für Fedora 24 und 25 stehen Sicherheitsupdates für Thunderbird auf Version 45.7.0 im Status 'testing' zur Verfügung.

Version 7 (2017-02-03 14:19)

Für Oracle Linux 5 (i386, x86_64), Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für Thunderbird auf Version 45.7.0 bereit.

Version 8 (2017-02-07 10:41)

Canonical informiert darüber, dass mit dem Firefox-Sicherheitsupdate USN-3175-1 für Ubuntu 16.10, Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS eine Regression für Systeme eingeführt wurde, auf denen das AppArmor Profil für Firefox im 'Enforce Mode' genutzt wird. Die Regression wird über das Update USN-3175-2 behoben.

Version 9 (2017-02-09 10:18)

SUSE veröffentlicht für die Produkte SUSE OpenStack Cloud 5, Manager Proxy 2.1 und Manager 2.1 sowie SUSE Linux Enterprise Software Development Kit 11 SP4, 12 SP1 und 12 SP2, Server for SAP 12, Server for Raspberry Pi 12 SP2, Server 11 SP4, 11 SP3 LTSS, 12 SP1, 12 SP2 und 12 LTSS, Desktop 12 SP1 und 12 SP2 sowie Debuginfo 11 SP3 und 11 SP4 Sicherheitsupdates auf die Firefox ESR Version 45.7.

Version 10 (2017-02-21 14:19)

Red Hat aktualisiert seine Meldung RHSA-2017-0190 und gibt darin bekannt, dass nun auch Sicherheitsupdates für die Architekturen 'PPC' und 'S390' zur Verfügung stehen, durch die Firefox auf Version 45.7.0 ESR aktualisiert wird.

Version 11 (2017-07-25 11:18)

Für Fedora 25 und 26 sowie für Fedora EPEL 6 und 7 steht SeaMonkey in der Version 2.48 als Sicherheitsupdate im Status 'testing' bereit, mit dem die aus dem Mozilla Foundation Security Advisory MFSA 2017-01 gemeldeten Schwachstellen behoben werden. SeaMonkey 2.48 verwendet dieselbe Backend-Version wie Firefox 51.

Betroffene Software

Office
Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Google
Linux
Microsoft
Oracle

Beschreibung:

Mehrere Schwachstellen ermöglichen auch einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, Umgehen von Sicherheitsvorkehrungen, Ausspähen von Informationen, Darstellen falscher Informationen, Eskalieren von Privilegien sowie die Durchführung von Denial-of-Service (DoS)- und Cross-Site-Scripting (XSS)-Angriffen. Die Schwachstellen CVE-2017-5392, CVE-2017-5394 und CVE-2017-5395 betreffen ausschließlich Firefox for Android.

Die Mozilla Foundation stellt den Browser Firefox in Version 51 und das Extended Support Release Firefox ESR 45.7 bereit, um die Schwachstellen zu beheben.

Das Tor Browser Projekt veröffentlicht die auf Firefox ESR 45.7 basierenden Tor Browser 6.5, alpha Tor Browser 7.0a1, hardened Tor Browser 7.0a1-hardened und Tails 2.10, um die entsprechenden Schwachstellen zu beheben. Zusätzlich werden durch die neuen Tor-Versionen weitere Schwachstellen in anderen Komponenten adressiert.

Für Red Hat Enterprise Linux 5, 6 und 7 stehen Sicherheitsupdates für Firefox auf ESR 45.7 bereit, um die Schwachstellen CVE-2017-5373, CVE-2017-5375, CVE-2017-5376, CVE-2017-5378, CVE-2017-5380, CVE-2017-5383, CVE-2017-5386, CVE-2017-5390 und CVE-2017-5396 zu beheben.

Für Fedora 24 und 25 steht die neue Version 51.0 von Firefox als Sicherheitsupdate zur Verfügung; für Fedora 24 im Status 'testing' und für Fedora 25 im Status 'pending'.

Schwachstellen:

CVE-2017-5373

Schwachstellen in Mozilla Firefox und Firefox ESR ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-5374

Schwachstellen in Mozilla Firefox ermöglichen Ausführung beliebigen Programmcodes

CVE-2017-5375

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-5376

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-5377

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff

CVE-2017-5378

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausspähen von Informationen

CVE-2017-5379

Schwachstelle in Mozilla Firefox ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-5380

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-5381

Schwachstelle in Mozilla Firefox ermöglicht Privilegieneskalation

CVE-2017-5382

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2017-5383

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Darstellen falscher Informationen

CVE-2017-5384

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2017-5385

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2017-5386

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht u.a. Privilegieneskalation

CVE-2017-5387

Schwachstelle in Mozilla Firefox ermöglicht Ausspähen von Informationen

CVE-2017-5388

Schwachstelle in Mozilla Firefox ermöglicht Denial-of-Service-Angriff

CVE-2017-5389

Schwachstelle in Mozilla Firefox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-5390

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Privilegieneskalation

CVE-2017-5391

Schwachstelle in Mozilla Firefox ermöglicht Privilegieneskalation

CVE-2017-5392

Schwachstelle in Mozilla Firefox for Android ermöglicht Denial-of-Service-Angriff

CVE-2017-5393

Schwachstelle in Mozilla Firefox ermöglicht Cross-Site-Scripting-Angriff

CVE-2017-5394

Schwachstelle in Mozilla Firefox for Android ermöglicht Darstellen falscher Informationen

CVE-2017-5395

Schwachstelle in Mozilla Firefox for Android ermöglicht Darstellen falscher Informationen

CVE-2017-5396

Schwachstelle in Mozilla Firefox und Firefox ESR ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.